ニュース
» 2012年06月19日 17時17分 UPDATE

rootkitの封じ込めを狙うインテル・マカフィーの新技術

最近の標的型攻撃で頻繁に用いられるrootkitの新たな対策技術をインテルとマカフィーが共同開発。年内に製品化する同技術の全容を明らかにした

[國谷武史,ITmedia]

 インテルとマカフィーは6月19日、両社が共同開発したセキュリティ新技術「DeepSafe」に関する説明会を開催した。同技術はPCに搭載する「McAfee Deep Defender」およびPC運用管理支援の「McAfee ePO Deep Command」として年内に国内提供を予定している。

 DeepSafeは、OSのカーネル部などで動作する不正プログラムのrootkitの検出・駆除と感染阻止を目的にしたもの。両社は2年前から共同開発を進めてきた。

 rootkitはマルウェアなどを隠ぺいして、ウイルス対策ソフトの検知から逃れる役割を果たす。2000年代半ばから数多く出回るようになり、近年ではrootkitを簡単に作成できるサイバー攻撃ツールも登場したことから増加傾向にある。

 「標的型攻撃など使うマルウェアがセキュリティ対策ソフトなどに検知されないよう、rootkitを用いるケースも目立つ」(マカフィー プロフェショナル担当サービス部長の兜森清忠氏)という。マルウェアの発見が遅れれば、その間に企業内から機密情報やパスワードなどのデータが漏えいし続けてしまう。

 同社をはじめウイルス対策ベンダー各社は、2000年後半から統合型セキュリティソフトなどでrootkit検出機能を提供するようになった。当初の検出機能は、OSのAPIを介してOSの上位層での実行プロセスを監視し、異常なプロセスが伴う場合にrootkitとして検出するようにしていた。

 マカフィー セールスエンジニアリング本部の宮本浩二氏によれば、最近のrootkitは検出機能の監視の目が行き届かないカーネルなど下位層で活動するようになり、対策製品に応じた検出回避の仕組みも持つようになったことから、従来の手法が通じにくくなった。

mcfint01.jpg rootkitの傾向

 OSの下位層で活動するrootkitは、例えば、検査対象のPCからHDDを取り外して別のPCにつなぎ、そのPCのセキュリティソフトでスキャンすることで検出できる場合があるという。しかし企業など大量のPCを保有する環境でこうしたスキャンを行うのは現実的ではない。仮にrootkitを検出しても、OSの重要なファイルに感染していることから、駆除によってファイルも削除され、OSが正常に動作しなくなる恐れがある。

 こうした現状に対処するため、両社では「DeepSafe」の開発を進めてきたという。

 DeepSafe技術を製品化したDeep Defenderは、インテルの最新版プロセッサ(Sandy Bridge)のCore i シリーズに既に搭載されている。Core i プロセッサの仮想化支援機能VT-xを利用して動作し、OSのカーネルメモリのプロセスをリアルタイムに監視。正常プロセスと異なる不審な振る舞いを検知すると、エージェントツールが定義ファイルやマカフィーの脅威データベースにインターネット経由で照会する。rootkitと特定された場合、これを削除する。

mcfint02.jpg Deep Defenderの仕組み

 なおDeep Defenderの利用条件があり、現状では対応OSがWindows 7のみであることや、Type 1型の仮想化ハイパーバイザ(VMware ESXやMicrosoft Hyper-Vなど)を併用できないこと、マカフィーのセキュリティ製品(VirusScan EnterpriseやePolicy Orchestrator)の利用といった点がある。対応OSの拡大やハイパーバイザの併用などは今後の開発課題だとした。

 一方のePO Deep Commandは、Deep Defenderを利用するPCの管理やインテル vPro テクノロジーを利用したPCの運用管理を行うツールとなる。Deep Defenderからアラートを受信して管理者に通知したり、LAN上のPCを遠隔から起動させてOSやアプリケーションのセキュリティアップデートを実施したりといったことができる予定だという。

mcfint03.jpg ePO Deep Commandの概要

 マカフィーとの協業についてインテル マーケティング本部プラットフォーム・マーケティング・エンジニアの坂本尊志氏は、「OSをより安全に利用できるようになるなど、従来のセキュリティ対策では難しかったさまざまな課題に対応していけるだろう」と話す。

 先日来日した米McAfee シニアバイスプレジデント兼ゼネラルマネジャーのスティーブ・ペトラッカ氏によれば、新製品の提供時期は企業向けが2012年中、コンシューマー向けが2013年になるという。マカフィー プロダクトマーケティング部の松久育紀氏は、「具体的にユーザーがどのように利用できるかなどを7月に発表したい」と話している。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ